| 通し番号. | URL( 数字→アルファベット順 )
[確認日/掲載日] 鑑定結果/解説 |
← このようになっています。 |
| [2008/11/23] | こんな感じ のサイトだが、ウィルス名:JS_AGENT.ADOW を検出。 |
| [2008/11/23] | ウィルス名:TROJ_NUWAR.GFZ |
| [2008/11/23] | こんな感じ のサイトだが、ウィルス名:HTML_AGENT.AVYZ を検出。 |
| [2008/11/23] | ウィルス名:ADW_ANTIVIR |
| [2006/05/21] | ブラクラ。他の方の結果は以下の「」内。
「グロ、うんこ、エロ画像などが次々表示され、その窓があちこち動き回る。mailtoストームもある。」 |
| [2005/10/22] | ウィルス名:TROJ_KFILES.EU |
| [2006/09/17] | ウィルス名:TROJ_WEBINS.A |
| [2007/04/27] | 海外アダルトサイトだが、ウィルス名:EXPL_ANICMOO.GEN+EXPL_WMF.GEN を検出。 |
| [2009/01/25] | ウィルス名:BKDR_PCCLIEN.AFR |
| [2009/01/25] | 真っ白なページだが、ウィルス名:POSSIBLE_SCRDL を検出。
このサイトは、'Microsoft Corporation'からの'Remote Data Services Data Control'アドオンを実行しようとしている。 |
| [2008/08/09] | ウィルス名:TSC_GENCLEAN+BKDR_PCCLIEN.AFR |
| [2004/11/04] | ウィルス名:HTML_REDIR.A |
| [2007/04/05] | 海外アダルトサイト。バスターが危険なwebサイトとして警告する。 |
| [2006/12/23] | 海外アダルトサイトだが、ウィルス名:DIAL_DIALER.GV を検出。 |
| [2006/12/23] | ウィルス名:DIAL_DIALER.GV |
| [2006/10/30] | 踏むと「CasinoSetup.exe」というファイルが落ちてくる。
2006/10/20 にトレンドマイクロ社に「CasinoSetup.exe」ファイルを提出。 2006/10/25 にその結果の連絡があり、ウィルス名:ADW_CASINO.E として検出するよう対応、とのこと。 実際に2006/10/20 にDLしたファイルからウィルス名:ADW_CASINO.E を検出することを確認。 また、今日改めて当該URLからDLしてみてもウィルス名:ADW_CASINO.E を検出することを確認。 |
| [2007/02/17] | 真っ白なページ。バスター無反応だが、ソースを見るとVBScriptを使い、しかもコード変換されている部分がある。
その中に以下のURLが隠れている。 //www.getamped-garm.com/guiink/t2.exe |
| [2007/02/17] | 上記3つのURLとも真っ白なページだが、以下のURLと関連している。
//www.game-fc2blog.com/guiink/xiaro.exe |
| [2007/02/17] | ウィルス名:TSPY_MARAN.D |
| [2007/02/17] | 踏むと真っ白なページ。バスター無反応だが、ソースを見ると以下の4つのURLをIFRAMEタグで呼び出している。
//www.game-fc2blog.com/guiink/lin.htm //www.game-fc2blog.com/guiink/lin1.htm //www.game-fc2blog.com/guiink/lin2.htm //www.game-fc2blog.com/guiink/lin3.htm |
| [2009/05/06] | 真っ白なサイトだが、ウィルス名:HTML_DLOADR.AET を検出。
リロードを繰り返すサイトで、その度にウィルスを検出する。 |
| [2006/12/09] | 2006/12/02 にトレンドマイクロ社に上記URLのうち、「um17.jpg.scr」「douga-730.jpg.scr」「10060347.jpg.scr」の3つのファイルを提出。
2006/12/08 にその結果の連絡があり、ウィルス名:TSPY_MARAN.BG として検出するよう対応、とのこと。 実際に 2006/12/02 にDLした上記全てのファイルからウィルス名:TSPY_MARAN.BG を検出することを確認。 また、今日改めて上記URL全てからファイルをDLしてみてもウィルス名:TSPY_MARAN.BG を検出することを確認。 2006/12/02 から今日まではファイルは置き換えられていないと推測される。 |
| [2006/12/09] | 以下の「」内の他の方の結果も参照。
「VIRUSTOTALでスキャンしたところアンチウィルス16社(約半数)で有害判定。 実行したところ サービス:\\Power Adapter と サービス:\\Windows Socket 2.0 非 IFS サービス プロバイダ サポート環境が追加されました。」 「タスクマネージャにconime.exeが常駐します。IMEとcmdを実行されました。」 「マカフィーではDL中に反応しました。中身が見れなかったのでマカフィーのサイトから情報のみ。 トロイの木馬:Generic PWS.b ・これは、AVERTが現在までに報告を受けている、パスワードを盗み出す、多数の詳細不明なトロイの木馬 - 典型的なのは、1度作成されただけの- 検出結果です。 ・このトロイの木馬は、感染マシンから以下のパスワードを盗みだす可能性があります。 ローカルシステム上のユーザーネーム/パスワード ドメインユーザーネーム/パスワード MAPIユーザーネーム/パスワード AOL または MSN のユーザーネーム/パスワード その他様々なソフトウェアのパスワード(アプリケーションまたはゲーム) ・ターゲットマシンからパスワードを盗み出す典型的な方法は、取得したパスワードを照会する、システムレジストリを照会する、特定のファイル(Win9x上のPWLファイルなど)をターゲットにする、偽のログイン画面を表示する等です。 一度取得されると、パスワードは複数の方法:メールやHTTP(ポート80)、FTP等でハッカーへと送られます。」 「このmalware が、おそらく、マルウェア作成キット+追加マルウェア>の構成でできている(推定)からでしょう。 マルウェア作成キットそのものに反応できれば、一網打尽にできていいのですが、実際の挙動は、個別のマルウェアによります、という説明になってしまうのかと。」 |
| [2008/07/15] | ウィルス名:TSC_GENCLEAN+TSPY_MAPLER.AH |
| [2005/05/16] | 踏むと「INDEX」というタイトルの真っ白なページだが、 こんな小窓 が付いてくる。
「リネージュ ハッキングウィルス対策ガイド」に載っている危険サイトらしい。 ソースを直接取得して見ると奇怪なことがわかる。ほとんど暗号化されているが、JavaScriptを使って //www.181game.com/jpt1/svchost.exe を呼び出している。 //www.181game.com/jpt1/svchost.exe のURL List解説も参照。 |
| [2005/04/27] | ウィルス名:TSPY_LINEAGE.GEN 。ソースを見ると怪しいことが分かる。
一部 暗号化されたソースだが、タグの文字の中に半角スペースを適当に?入れて「分解」している。 暗号化された部分は詳細不明だが、それ以外の部分から以下のURLを読み取ることができる。 //www.gamecent.com/t1/svchost.exe このexeからウィルス名:TSPY_LINEAGE.GEN を検出。 |
| [2005/04/27] | ウィルス名:TSPY_LINEAGE.GEN |
| [2009/02/11] | DL+解凍すると「mov.scr」ファイルが現れるが、ウィルス名:TSPY_ARCQ.A として対応済。 |
| [2009/01/23] | ウィルス名:TROJ_INJECT.ACK |
| [2008/07/15] | ウィルス名:TSC_GENCLEAN+TSPY_MAPLER.AC |
| [2009/02/02] | こんな感じ のページだが、ウィルス名:JS_DLOAD.MD+EXPL_ANICMOO.GEN+EXPL_EXECOD.A を検出。
このサイトは、'Microsoft Corporation'からの'Remote Data Services Data Control'アドオンを実行しようとしている。 |
| [2009/03/11] | DL+解凍すると「fu.scr」ファイルが現れるが、ウィルス名:TROJ_INJECT.ADH を検出。 |
| [2006/02/03] | こんな感じ のスパイウェア配布サイト。このページ表示まで無害で、普通に閉じれる。
画面内の「Ad-supported」というリンクを踏むと これ を別窓表示して、何かをインストールするよう催促され、同時にウィルス名:ADW_GAMESPY.A を検出。 |
| [2005/07/18] | ウィルス名:ADW_GAMESPY.A |
| [2007/05/05] | 真っ白なページだが、ウィルス名:EXPL_ANICMOO.GEN を検出。 |
| [2008/09/26] | 2008/09/11 にトレンドマイクロ社にファイルを提出。
今日、その結果の連絡があり、ウィルス名:TROJ_VAKLIK.HO として検出するよう対応、とのこと。 実際に 2008/09/11 にDLしたファイルからウィルス名:TROJ_VAKLIK.HO を検出することを確認。 しかし、今日改めて当該URLからDLしてみるとウィルス名:PAK_Generic.001 を検出。 2008/09/11 から今日までの間にファイルが置き換えられた可能性がある。 |
| [2007/02/17] | ウィルス名:VBS_PSYME.NI |
| [2007/02/17] | ウィルス名:TSPY_LINEAGE.CYO |
| [2007/02/17] | ウィルス名:VBS_PSYME.NI を検出。ソースを見ると、コード変換されている部分がある。
その中に以下のURLが隠れている。 //www.gameurdr.com/caink/laot1.exe |
| [2007/02/17] | ウィルス名:TSPY_MARAN.D |
| [2008/12/06] | 2重拡張子。ウィルス名:TROJ_AGENT.AULZ |
| [2010/01/26] | 以下のURLに飛ぶので、そちらのURL List解説を参照。
//www.garysinise.com/GarySinise/Welcome.html |
| [2010/01/26] | 他の方の結果は以下の「」内。
「Kaspersky 反応。2009/12/24 19:28:39 検出しました。Trojan-Clicker.JS.Iframe.db Internet Explorer 」 |
| [2010/01/26] | ウィルス名:JS_ONLOAD.SMF |
| [2010/01/26] | こんな感じ のサイト。ウィルス名:JS_ONLOAD.SMF を検出。
このサイトを閲覧後、ウィンドウを閉じてもしつこくウィルス名:JS_ONLOAD.SMF を検出する現象を確認。 調べてみると、ウィルスの発動元はテンポラリファイルで、中身を削除すれば お咎め無しである。 |
| [2010/01/26] | ウィルス名:JS_ONLOAD.SMF |
| [2009/02/18] | 真っ白なページだが、ウィルス名:JS_AGENT.AJWW+HTML_IFRAME.ZF を検出。
このサイトは、'RealNetworks,Inc.'からの'RealPlayer plug-in for Internet Explorer'アドオンを実行しようとしている。 |
| [2009/02/18] | こんな感じ のページだが、ウィルス名:JS_DLOADER.UOV を検出。
ソースを見るとコード変換されている部分がある。復号化してみると、以下のURLが現れてくる。 //www.skywebsv.com/Blog/k1.exe ← ウィルス名:TROJ_INJECT.XZ |
| [2009/02/18] | 真っ白なページだが、ウィルス名:JS_AGENT.AJWW を検出。 |
| [2005/09/04] | ウィルス名:JS_DLOADER.I |
| [2007/05/03] | 下のURLから「cartao.exe」なるファイルが落ちてくるが、ウィルス名:TROJ_GENERIC を検出。
//www.gclass.it/cartao/cartao.exe |
| [2007/05/03] | ウィルス名:TROJ_GENERIC |
| [2008/07/16] | ウィルス名:TSC_GENCLEAN+PAK_Generic.001 |
| [2005/09/25] | 別窓1枚付きの海外アダルトサイト。閉じると色々なアダルトサイトを1枚新窓表示。
私の環境では確認出来なかったが、この新窓表示はウィルス反応するものもあるらしい。 |
| [2008/12/06] | 2重拡張子。ウィルス名:TROJ_AGENT.AFSC |
| [2007/01/10] | 2006/12/21 にトレンドマイクロ社にファイルを提出。
2006/12/29 にその結果の連絡があり、ウィルス名:TROJ_ZLOB.BLF として検出するよう対応、とのこと。 実際に 2006/12/21 にDLしたファイルからウィルス名:TROJ_ZLOB.BLF を検出することを確認。 しかし、2006/12/29 に当該URLを確認してみると404であった。 |
| [2004/07/31] | 無限JavaScriptだがチェッカーは無反応。 |
| [2005/08/10] | ウィルス名:VBS_REDLOF.A.GEN |
| [2009/07/29] | こんな感じ のサイトだが、ウィルス名:VBS_REDLOF.A.GEN を検出。 |
| [2009/07/29] | 他の方の結果では「Virus.VBS.Redlof.a と JS_PSYME.V の2つのウィルスを検出。」 |
| [2007/04/02] | 軽いブラクラの一種?。文字の羅列のページで、赤⇔青 を繰り返す。ブラウザを閉じればそれで終わり。 |
| [2004/07/23] | 形式は普通のBBSだが変わったタイプのブラクラ。ブラウザの「停止」さえ押せば終了。 |
| [2004/04/17] | mailtoストーム。//www2.strangeworld.org/uedakana/sahra6138.jpg に飛ぶ。 |
| [2005/05/07] | ウィルス名:TROJ_WINDUKE。トロイの木馬型不正プログラム。感染活動は無し。
このプログラムのオリジナルは"WINDUKE.EXE"のファイル名で「掲示板荒らしプログラム」の説明書きと共にとして配布されていたとみられる、とのこと。 |
| [2006/05/07] | こんな感じ のページだが、ウィルス名:VBS_REDLOF.A.GEN を検出。
ソースチェッカーでは「危険!HTML.Redlof.Aを発見! (1) 危険!JS_PSYME.Vを発見! (1) 」と診断される。 |
| [2004/07/13] | 403だがページを常時切り替えるサイト。暫くするとmailtoストームが始まる。 |
| [2004/02/14] | 無限JavaScript。mailtoストーム。FDDアタック。 |
| [2005/08/04] | ウィルス名:VBS_REDLOF.A.GEN。ソースチェッカーでは「HTML.Redlof.AとJS_PSYME.V を発見!」と出る。 |
| [2004/05/04] | Startを押すと //www.albinoblacksheep.com/flash/open.html に飛ぶ。 |
| [2004/12/04] | mailtoストーム。 |
| [2004/12/04] | FDDアタック。 |
| [2004/07/23] | 無限アラート。強制終了しないと脱出できない。 |
| [2004/08/08] | 無限JavaScript。ブラクラチェッカーは無反応。Alt+F4で脱出可。オウム麻原のマーチのmidi音楽がかかっている。 |
| [2004/08/08] | 無限ウィンドウオープンだが、いちいちmp3音源を読み込むためウィンドウの開く速度が遅い。 |
| [2003/10/11] | ウィルス名:VBS_REDLOF.A |
| [2004/05/10] | mailtoストーム。//www.raus.de/crashme/ のwindowが開く。 |
| [2008/08/14] | 「FDDクラッシュ」というタイトルのページで、ブラクラの症状が出るが、Vista環境では無害と思われる。 |
| [2006/01/20] | HDDアタックが約10秒くらい続いて止まり、こんな画面 に落ち着く。 |
| [2004/07/13] | 無限JavaScript |
| [2004/08/13] | ウィルス名:JOKE_MADO.A |
| [2002/12/08] | ウィルス名:JOKE_MADO.A |
| [2007/03/13] | 無限ウィンドウオープンらしいが、Vista環境では無害。 |
| [2004/02/22] | 無限JavaScript。 |
| [2005/04/03] | 解凍すると「nycrkldr15.exe」と「readme.txt」が入っている。バスター反応無し。
readme.txtを読むと、使い方が書いてあり、「winny.exeと同じフォルダにおいて、このプログラムを起動。するとwinnyも起動する。nycrkldrのageをクリックするとメモリが書き換えられ最大DL数がどんどん増えていく。」とのこと。 |
| [2004/07/18] | ウィルス名:TROJ_HAKTEK |
| [2005/02/14] | スクリプトエラーが発生し、メモリ使用量が200MBを超えたあたりからIEがフリーズ。 |
| [2004/07/13] | 無限ループ。/geobook.html を延々と飛び続ける。 |
| [2004/02/14] | 無限JavaScript。mailtoストーム。FDDアタック等の可能性。アラートメッセージが無限に出続ける。 |
| [2003/02/21] | ブラクラっぽい動きのあと Welcome to Lach dich tot! というページになる。 |
| [2008/09/13] | こんな感じ のサイト。インチキセキュリティサイトである。
このサイトは以下のファイルをDLしろ、と言ってくるが、そのファイルからウィルス名:TSC_GENCLEAN+WORM_AUTORUN.AMH を検出。 //antivirus2008exp.com/downloads/XP-Vista-Antivirus.installer.exe また、このサイトは2回目以降の確認では 404 になっている。恐らく、2回目以降に訪れた人は弾くようスクリプトが仕組んであると思われる。 |
| [2006/04/13] | 無限ループ。TELNETストーム。FDDアタック。ソースストーム。 |
| [2005/09/18] | IFRAMEタグを130個使い、危険URLを呼び出している。 しかし、その呼び出しているURLの多くが無害化している。だが、生きている危険URLも呼び出しているので要注意。 |
| [2005/11/02] | アンチドートでトロイの木馬反応ありのTELNETストームのブラクラ。 |
| [2006/01/18] | TELNETストーム。 他の方の結果は以下。 「一瞬、便器にウンコ画像が表示されますが、直後、telnetが物凄い勢いで立ち上がり、www.warez.com に接続を開始します。IEはフリーズしてしまいました..。」 |
| [2007/03/12] | 「ブラクラと Kaspersky が Trojan.JS.NoClose を検出しました。
これは JavaScript で記述されたトロイの木馬です。 NoClose は、閉じることが難しいか不可能なブラウザのウィンドウを多数開きます。 あとは もしかしたらアンチウィルスソフトで検出されない未知のウィルスが進入しているかもしれないということです。 プロセスを調べましたが 私の環境(XP Home SP2)では今のところは大丈夫な模様です。」 |
| [2005/12/14] | ウィルス名:BKDR_NETBUS.170 |
| [2005/12/14] | バックドア型トロイの木馬を配布するサイト。こんな感じ のサイトである。別窓1枚付き。このページ表示まで無害で、普通に閉じれる。 |
| [2005/12/14] | ウィルス名:BKDR_NOTPA.A+TROJ_PSWBAROK.B |
| [2005/12/14] | ウィルス名:BKDR_BKSOCKET.50 |
| [2005/12/14] | ウィルス名:BKDR_VB.ZK |
| [2005/12/14] | ウィルス名:BKDR_BOGUI+BKDR_BOSNIFF.A+BKDR_BO.58880+BKDR_ORIFICE.C |
| [2005/12/14] | ウィルス名:BKDR_GIRLFRIEND |
| [2005/12/14] | ウィルス名:BKDR_HACKTACK.12 |
| [2005/12/14] | ウィルス名:BKDR_SPIKING.A |
| [2005/12/14] | ウィルス名:BKDR_INCOM.10 |
| [2005/12/14] | ウィルス名:BKDR_BO.A |
| [2005/12/14] | ウィルス名:BKDR_INFILTRAT.A |
| [2005/12/14] | ウィルス名:BKDR_MILL.A |
| [2006/01/04] | 解凍すると「noknok7.exe」というアプリケーションが現れる。
バスター無反応だが、以下のアンチウィルスソフトで反応。スパイウェアである。 AntiVir → Backdoor-Client/Noknok.72.Cli backdoor, Backdoor-Server/Noknok.72.Srv backdoor, Backdoor-Server/Noknok.7.2 backdoor BitDefender → Backdoor.Noknok.7.2, Backdoor.Noknok.72 Dr.Web → BackDoor.Noknok.50 F-Prot Antivirus → security risk or a "backdoor" program Fortinet → W32/Bdoor.72-bdr Kaspersky Anti-Virus → Backdoor.Win32.Noknok.72 VBA32 → Backdoor.Win32.Noknok.72 |
| [2006/08/01] | 2006/07/29 にDL+解凍した「noknok7.exe」をトレンドマイクロ社に提出。
今日、その結果報告があり、「パターンファイル3.629.00 にて、ウィルス名:TROJ_DROPPER.BKM として検出するよう対応いたしました。」とのこと。 実際に、ファイルをDLしてウィルス名:TROJ_DROPPER.BKM を検出することを確認。 |
| [2005/12/14] | ウィルス名:BKDR_OSIRDOOR.A |
| [2005/12/14] | ウィルス名:BKDR_POD.A |
| [2005/12/14] | ウィルス名:BKDR_PRAYER.12 |
| [2005/12/14] | ウィルス名:TROJ_SETUP |
| [2005/12/14] | ウィルス名:BKDR_BONUS.213 |
| [2005/12/14] | ウィルス名:BKDR_TDS.SE.23+BKDR_UDT32.A+BKDR_DELF.GK |
| [2005/12/14] | ウィルス名:BKDR_VAMPIRE.A |
| [2006/02/06] | TELNETストーム。
他の方の結果では「Kasperskyで Trojan.JS.NoClose 検出のtelnetストームのブラクラです。」 |
| [2006/01/25] | ウィルス名:TROJ_DIVINE 。但し、2回目以降のDLは不可だった。 |
| [2006/01/25] | ウィルス名:TROJ_BIGJACK.A 。但し、2回目以降のDLは不可だった。 |
| [2006/01/25] | ウィルス名:TROJ_ICQ.FLOOD.B 。但し、2回目以降のDLは不可だった。 |
| [2006/01/25] | ウィルス名:TROJ_RUNNER.B+BKDR_JOINER+TROJ_JOINER.D 。但し、2回目以降のDLは不可だった。 |
| [2006/01/25] | ウィルス名:TROJ_MELIKSAH.A 。但し、2回目以降のDLは不可だった。 |
| [2006/01/25] | ウィルス名:HKTL_PNUKE.A 。但し、2回目以降のDLは不可だった。 |
| [2006/01/25] | ウィルス名:TROJ_TROMAN.A+TROJ_TROMAN.B 。但し、2回目以降のDLは不可だった。 |
| [2003/02/24] | ブラクラだがチャッカーは無反応。 |
| [2006/01/07] | 「警察捜査の真実!!」というタイトルのページだが、TELNETストームが発生する。
TELNETの接続先は //www.warez.com/ である。それと、アクセス解析も行っている。 |
| [2006/01/07] | 他の方の結果は 「ブラクラ。以前bravehostにあったものと挙動は同じ。踏むべからず。」 |
| [2006/05/21] | 「Kaspersky で Trojan.JS.NoClose 検出のtelnetストームなどのブラクラ。」 |
| [2004/02/14] | FDDアタック等の可能性。 |
| [2004/11/27] | 解凍すると「my hot pix」というのが出てくる。ペイントのアイコンだが300KB程のEXE。
バスターは無反応だがノートンで反応。ウィルス名:Trojan.Progent 機密情報を盗み出し、それを自分自身の作者に送信しようとするトロイの木馬。 |
| [2006/03/29] | 他の方の結果では「Win32:Perfloger-D [Trj]というウイルスを検出しました。」 |
| [2005/02/22] | ウィルス名:WORM_MSBLAST.A |
| [2005/11/08] | TELNETストーム。 |
| [2005/11/15] | 他の方の結果は →「ノートンが反応しTelnetが起動します。」 |
| [2005/11/23] | 他の方の結果は以下の「」内。
「Trojan.JS.NoCloseを検出するtelnetストームのブラクラ。一時キャッシュの削除後、アンチウイルスなどでスキャンして何も反応せず、PCに何も変な挙動がなければ大丈夫だと思います。」 |
| [2006/01/19] | TELNETストーム。
他の方の結果では「一時期bravehostで流行ったブラクラ+ウィルスのジオ版。」 |
| [2006/02/03] | 「VBS:Malware [Gen]ワームを検出。」 |
| [2003/03/06] | ウィンドウ増殖型ブラクラ。 |
| [2006/02/04] | 便器画面を表示した後、TELNET画面が無数に開き続ける。接続先はwww.warez.com。ただし、接続できないよう。
単なるブラクラだと思われる。ただ、アンチウィルスソフトによってはスクリプトにウィルス反応するものもある。 バスターは無反応。あと、アクセス解析を行っている。 |
| [2004/02/24] | 無限JavaScript。無限アラート。 |
| [2004/04/06] | クラスター爆弾という題のブラクラ。窓が高速で動き回る(数秒したら自動で閉じる)。環境によりハングする可能性有り。 |
| [2005/01/12] | 無限ポップアップ。ポプアプ無効で防げる。 |
| [2005/08/24] | TELNETストーム。//www.warez.com への接続を試みる。 |
| [2005/09/06] | FDDアタック。無限ループ。TELNETストーム。ソースストーム。
直踏みすると、トイレの便器画像を表示して、約1〜2秒後にTELNETストームが始まる。 接続先は//www.warez.com/だが、「接続できません」となる。親元のタスクを終了すれば脱出可。 |
| [2007/01/15] | ニュースストーム。 |
| [2005/03/22] | ウィルス名:VBS_REDLOF.A-11 |
| [2005/05/03] | ウィルス名:VBS.Redlof.A [ノートン]
ウィルス名:VBS_REDLOF.A-11 [ウィルスバスター] |
| [2005/08/22] | バスター無反応。ウィルス無し。 |
| [2004/06/04] | 無限JavaScript。mailtoストーム。ニュースストーム。Telnetストーム。CPUが100%になってIE終了する。 |
| [2005/07/18] | //www.albinoblacksheep.com/flash/you.html に飛ぶ。 |
| [2005/07/24] | 踏むと こんな感じのページ 。yahooそっくりの個人サイト。
アクセス解析「shinobi」を使ってアクセスログも取っている。 以下は他の方の鑑定結果を記載。 「ソースチェッカーにURLを放りこんでみたところ、javaを使って動かしているということまでは判明。 IPは一応yahooのモノなんですけど、だからといってログインID・Passの入力は当然やってはいけません。 尚、一番下の超激ヤバページというのは踏んではいけません。 踏むと環境によりトロイ反応(現時点はノートンのみ確認。VB反応せず)なのでこのURLは以後有害認定とします。」 |
| [2006/02/19] | 改めて確認。404になっている。 |
| [2005/05/12] | Macで踏むとSafariが壊れるらしい。 |
| [2005/11/17] | 他の方の結果は以下の「」内。
「VIP先生の小さいサイズのフラッシュが25個再生されます。音量注意。環境によってはブラクラになる恐れがあります。カーソルにブーンがついてくる。」 |
| [2005/05/10] | IFRAMEタグを大量に使い、mariotropolis.swf を再生しようとしている。 |
| [2006/04/14] | こんな感じ のサイト。このページ表示まで無害で、普通に閉じれる。
以下の他の方の結果を参照。 「小説が書かれたリンクがいくつかありますが、一部のリンクをクリックするとブラウザがフリーズします。ブラクラの一種でしょうか、さらにtackingcookieなるスパイウェアあり。詳しくはありませんが踏まない方が吉です。」 |
| [2004/08/31] | ウィルス名:VBS_REDLOF.A |
| [2006/01/12] | TELNETストーム。 |
| [2005/04/09] | FDDアタック。mailtoストーム。 |
| [2005/08/05] | mailtoストーム。 |
| [2004/08/22] | 無限JavaScript。 |
| [2004/08/17] | 「ご愁傷様です」と出て、ウインドウが沢山出てくる。 |
| [2006/02/12] | 踏むと こんな感じ のサイト。
ソースを見ると以下のスクリプトがある。これが原因。 <img src="persos4nw.jpg" width=9999999 height=9999999> 但し、IE最新バッチでは無害。IE最新バッチでない状態だとフリーズするか、IEが落ちるものと思われる。 |
| [2006/02/12] | 他の方の結果は以下の「」内。
「何も無いページだが、勝手に再起動された。」 「踏んだらいきなりパソコンがおかしくなって勝手に青い画像に訳の分からない文字が出てきて強制終了しました。」 「俺は何も表示されない状態で完全に止まった。何か怪しい事がある模様。」 「<img src="persos4nw.jpg" width=9999999 height=9999999> がブラクラになる原因ですね。 幅・高さが999万9999ピクセル…。ちなみに画像「persos4nw.jpg」はリンク切れです。 実際踏んだら(WINXPSP2 IE6SP2ですが)ブルースクリーン見ました。」 |
| [2005/03/23] | 無限ループ。 |
| [2006/05/22] | TELNETストーム。 |
| [2006/05/22] | 他の方の結果では
「Kaspersky 反応あり。Trojan.JS.NoClose 検出のtelnetストームのブラクラのようです。 激しく大きな雑音が再生されます。音量注意。」 |
| [2007/01/06] | mailtoストーム。無限ループ。 |
| [2005/12/28] | 無限ウィンドウオープン。 |
| [2005/05/01] | IFRAMEタグを290個使い、他サイトを呼び出している。 |
| [2004/08/12] | 新規ウィンドウで下記のURLが開く。
//2style.net/kuro_nh4/game.htmlと //mypage.naver.co.jp/ogre1634/bc/01.htm |
| [2004/07/25] | 無限JavaScript。 |
| [2005/03/03] | ウィルス名:VBS_REDLOF.A.GEN |
| [2005/07/17] | IFRAMEタグを相当数使い、//www.daramo.net/member.php を呼んでいる。
ブラウザが非常に重くなり、場合によってはフリーズする。 |
| [2005/12/31] | 無限ウィンドウオープン+mailtoストーム。
確認すると、まず、mailtoストームが発動、Alt+F4押しっぱなしで暫く処理していると、mailtoストームは無くなり、変わりに無限ウィンドウオープンが発動。 |
| [2006/01/06] | ブラクラと思われる。踏むと こんな感じ のサイトだが、延々と色々な何かを読み込んでいる。
ソースチェッカーで調べると、IFRAMEタグを209個使って色々なページを呼び出しているのが分かる。 1回目の確認では、延々と読み込んでいるウィンドウが閉じられなくなった。 2回目の確認では、読み込んでいるものの、これ も表示した。2回目では普通に閉じれた。 |
| [2005/11/03] | FDDアタック。強制終了で脱出。その後、メールウィンドウが1枚出る。宛先欄には「10000」とある。 |
| [2004/07/24] | 無限JavaScript。mailtoストーム。FDDアタック。 |
| [2005/07/20] | mailtoストーム。無限ループ。 |
| [2005/09/03] | ソースストーム。踏むとテキストファイルが次々と開くブラクラ。 |
| [2005/11/08] | 再確認。踏むと暫らくの間、PCが小刻みに読み込む。その後、これ を表示し、「はい」「いいえ」の選択を促してくるが、選択しても しなくても このソース のソースストームが始まる。 放っておくと、ソースストームのほかに この窓 もブラクラ並に開く現象を確認。 非常に重いソースストームで、「Alt+F4押しっぱなし」は効きづらい。 |
| [2004/08/14] | 118枚の警告アラートが表示される。 |
| [2006/07/19] | ブラクラたっだらしいが、確認した時は「このページは現在利用できなくなっています。」とのこと。 |
| [2005/11/21] | 「裁判についてのご連絡」というタイトルのページだが、PCフリーズする。
タスクの強制終了を何回か行なって脱出するも、その脱出方法は稀に可能と思われる。 何回か確認して、私が脱出できた方法は「PCの強制電源OFF」であった。 ソースを見るとタグの使い方が奇妙で、しかも</html>の後にJavaScriptが書かれている。 このソースをメモ帳で表示したまま、IEを開き、//www.geocities.jp/kuri_ari/tsushima.html と打ち込んで行くと、メモ帳とIEが点滅する現象を確認。 別のウィンドウを開いている状態でも点滅する現象を確認した。 しかし、結局、その脱出方法も「PCの強制電源OFF」でしかなかった。 |
| [2006/01/23] | 他の方の結果では、
「VBS:Malware [Gen]というウイルスを検出。」 |
| [2006/01/24] | 「telnetストームのブラクラです。Kaspersky での反応は Trojan.JS.NoClose です。ブラクラ系スクリプトに対する反応だったと思います。」 |
| [2006/01/21] | 他の方の結果は「Trojan.JS.NoClose 反応のあるtelnetストームのブラクラです。」 |
| [2005/02/14] | mailtoストーム。FDDアタック。無限ループ。 |
| [2004/08/03] | 無限JavaScript。mailtoストーム。FDDアタック。 |
| [2005/03/10] | mailtoストーム。FDDアタック。 |
| [2005/01/06] | //www.raus.de/crashme/ を新窓表示。 |
| [2004/12/22] | /index.txtを新窓で開き続けるブラクラ。/index.txt はテキストではなく、悪意あるスクリプト。crashmeで用いられている画面が音楽付きで次々と開く。 |
| [2004/09/26] | /open.htmlが92個開く。 |
| [2004/05/04] | HDDをフォーマットすると出る。全画面になるので怖い(無論ジョーク)。
その後掲示板に飛ばされるが、ここに書き込むとIPが出てしまう。 |
| [2004/08/18] | 404を装ったページだがリンク先をクリックすると「ハードディスクをフォーマットしています」と表示されるジョークサイト。 |
| [2005/07/09] | 踏むとブラウザフリーズ。他の方の鑑定では、
「古典的ブラクラ。各種スキームの open を JavaScript で無限ループ。」 「telnetが大量に立ち上がる。」 |
| [2005/07/10] | TELNETストームと「 You are an idiot ! 」を呼んでいる。バスター無反応。
アンチドートでウィルス名:Trojan.JS.NoClose+Trojan.VBS.IFrameを検出。 ClamWinでウィルス名:Trojan.VBS.MsTelnetを検出。 IEの一時キャッシュ削除後、ウイルススキャンで反応なければ大丈夫と思われる。 |
| [2006/05/10] | 無限ウィンドウオープン。これ が次々と開いていく。 |
| [2004/12/15] | /t.htmでは真っ赤なページに「押してください→???」とリンクが貼ってある。
クリックすると/a.htm→f.htm→/a.htmと無限に開くブラクラ。 |
| [2005/08/12] | mailtoストーム。 |
| [2005/08/12] | 無限ループ。 |
| [2005/08/26] | 再確認。「実戦用ブラクラ」と称された無限アラート。
これ を閉じても閉じても表示する。強制終了で脱出。 |
| [2005/03/06] | mailtoストーム。 |
| [2005/12/08] | 無限ループ。mailtoストーム。FDDアタック。ニュースストーム。 |
| [2004/12/04] | //www.raus.de/crashme/に飛ぶ。 |
| [2005/08/10] | mailtoストーム。mailto画面が50枚出る。 |
| [2004/11/21] | 無限ループ。 |
| [2005/10/28] | 無限ループ。プログラムが脱出できない繰り返し処理に行なってしまい、CPU使用率が跳ね上がり他のアプリケーションの動作に影響を与える。 |
| [2004/07/03] | ねとらじのヲチスレを荒らすアフォを叩くページだが、「詳細情報データベース」を踏むと//www.albinoblacksheep.com/flash/open.htmlに飛ぶ。 |
| [2004/07/06] | 2ちゃんねるのスレの形式に似ているが、なぜか2レス目にバーみたいなのがある。ページ自体は無害だがそのバーを押すとブラクラが発動。 |
| [2006/02/19] | 改めて確認。踏むと こんな感じ のページ。
2chでの「【知的】ねとらじのヲチスレを荒らすアフォを叩くページ【障害】」というスレのソースを拝借して部分的に変更したページのようである。 書き込んで見ると //www2.2ch.net/live.html に飛んで、「もうずっと人大杉」 になる。 |
| [2005/08/10] | mailtoストーム。mailto画面が50枚出る。 |
| [2004/11/18] | 無限ループ。 |
| [2005/10/28] | 無限ループ。プログラムが脱出できない繰り返し処理に行なってしまい、CPU使用率が跳ね上がり他のアプリケーションの動作に影響を与える。 |
| [2006/07/19] | 踏むと、延々と色々なURLを読み込みに行き、それが中々終わらない。 |
| [2006/07/19] | 他の方の結果は以下の「」内。
「踏むと、「移転しました」というページに飛ばされ、ブラウザが固まりました。何度試しても同じことが起こりました。」 |
| [2006/01/19] | TELNETストーム。 |
| [2006/01/20] | 他の方の結果では「Kaspersky反応あり。Trojan.JS.NoClose 検出。telnetストームのブラクラでした。」 |
| [2006/01/20] | 「VBS:Malware [Gen]というワームを検出(avast!)。」 |
| [2005/02/12] | 無限アラートオープン。 |
| [2005/11/10] | 無限ウィンドウオープン。Alt+f4押しっぱなしで脱出不可。 |
| [2005/03/29] | mailtoストーム。 |
| [2005/04/03] | TELNETストーム。 |
| [2005/05/28] | 100個のmailtoストーム。 |
| [2005/05/28] | 無限ウィンドウオープン。 |
| [2006/02/05] | mailtoストーム。 |
| [2004/05/22] | 無限JavaScriptの可能性。mailtoストーム。 |
| [2004/12/04] | 無限JavaScript。 |
| [2006/03/29] | TELNETストーム。バスター無反応だが、他アンチウィルスソフトでは JS/NoClose (トロイ)を検出するらしい。 |
| [2006/04/30] | バスター無反応だが、以下のアンチウィルスソフトで反応。
AntiVir → Heuristic/Backdoor.Generic Kaspersky → Trojan-Spy.Win32.KeyLogger.ii NOD32 → probably unknown NewHeur_PE |
| [2006/04/30] | 他の方の結果は以下の「」内。
「中に入っているg9.exeという不快な人物のIDをハンゲームから消し去るソフトなるものが入っていました。実行するとスタートアップに登録しようとします。レジストリの書き換えあり。」 |
| [2006/05/01] | 他の方の結果は以下の「」内。
「ファイルを分析しました。送られたそれぞれのファイルについてわかったことを以下に報告します。 g9.exe コンピュータ: 結果: このファイルの検出結果 Keylogger.Trojan. http://www.symantec.com/avcenter/venc/data/keylogger.trojan.html デベロッパーノート g9.exe is a non-repairable threat. ご提出いただいたサンプルについて、シマンテック・セキュリティ・レスポンスはウイルス、ワームまたはトロイの木馬に感染していると判断いたしました。 今回の提出されたサンプルに含まれる脅威に個別対応した定義ファイルを作成いたしましたので、このメールの末尾に書かれた手順にしたがってインストールしてください。 ftp://ftp.symantec.com/public/english_us_canada/antivirus_definitions/norton_antivirus/rapidrelease/symrapidreleasedefsi32.exe」 |
| [2006/03/24] | ウィルス名:IVP_DROPPER+BUBBLES-1 |
| [2006/03/24] | 他の方の結果は以下の「」内。
「BUBBLES2.COM感染 PS-MPC.4092.AU.Gen 、IVP.EXE感染 Constructor.IVP_17.A 、KILL.RTN感染 Trojan.Source.B 」 |
| [2006/01/17] | 踏むと こんな感じ のサイトだが、ウィルス名:VBS_REDLOF.A.GEN を検出。
他アンチウィルスソフトではウィルス名:VBS.Redlof.A を検出するらしい。 |
| [2006/07/19] | この窓 が次々と開いていく。Alt+F4押しっぱなしで脱出。 |
| [2006/03/24] | mailtoストーム。 |
| [2006/05/21] | 他の方の結果は「mailto画面が70個程開くブラウザクラッシャー。」 |
| [2005/06/12] | 無限ループ。 |
| [2005/08/26] | mailtoストーム。無限ループ。 |
| [2007/01/27] | ウィルス名:TSPY_MARAN.D |
| [2007/01/27] | ウィルス名:TSPY_MARAN.D |
| [2009/05/06] | Yahoo!ジオシティーズ のURLと酷似しているので注意。
こんな感じ のサイトだが、ウィルス名:JS_AGENT.AKFE を検出。 リロードを繰り返すサイトで、その度にウィルスを検出する。 |
| [2009/05/06] | Yahoo!ジオシティーズ のURLと酷似しているので注意。
真っ白なサイトだが、ウィルス名:JS_AGENT.AKFE を検出。 リロードを繰り返すサイトで、その度にウィルスを検出する。 |
| [2008/08/24] | 真っ白なページだが、ウィルス名:TSC_GENCLEAN+JS_PSYME.CJA を検出。
よく見ると、画面左上のほうに何かを呼び出しているのが分かる。 また、ソースのほとんどはコード変換されていて読みにくく工夫されている。 |
| [2008/08/24] | ウィルス名:TSC_GENCLEAN+TROJ_EXCHANGE.Y |
| [2008/08/24] | こんな感じ のサイトだが、ウィルス名:TSC_GENCLEAN+HTML_AGENT.AVYZ を検出。
ソースのほとんどはコード変換されていて読みにくく工夫されている。 |
| [2008/08/24] | ウィルス名:TSC_GENCLEAN+TROJ_RENOS.AFT |
| [2008/08/24] | こんな感じ のサイトだが、ウィルス名:TSC_GENCLEAN+JS_PSYME.CJA を検出。
さらに以下のファイルをDLしろ、と言ってくる。 //www.georgeskaspar.com/get_flash_update.exe |
| [2008/08/24] | こんな感じ のサイトだが、ウィルス名:TSC_GENCLEAN+JS_PSYME.CJA を検出。
さらに以下のファイルをDLしろ、と言ってくる。 //www.georgeskaspar.com/get_flash_update.exe |
| [2008/08/24] | 8秒後に以下のURLに飛ぶので、そちらのURLList解説を参照。 |
| [2008/08/24] | こんな感じ のサイトだが、ウィルス名:TSC_GENCLEAN+JS_PSYME.CJA を検出。
さらに以下のファイルをDLしろ、と言ってくる。 //www.georgeskaspar.com/get_flash_update.exe |
| [2007/02/17] | ウィルス名:VBS_PSYME.NI を検出。ソースを見ると、IFRAMEタグを使って以下のURLを呼び出している。
//www.getamped-garm.com/caink/rmtline.htm |
| [2007/02/17] | ウィルス名:VBS_PSYME.NI を検出。ソースを見ると、コード変換されている部分がある。
その中に以下のURLが隠れている。 //www.gameurdr.com/caink/laot1.exe |
| [2007/02/14] | ウィルス名:Possible_Lineage |
| [2007/02/14] | ウィルス名:TSPY_MARAN.D |
| [2005/11/30] | ウィルス名:HTML_CRINET.A 。microsoftに繋ぐtelnetが大量に開く。 |
| [2005/12/03] | ノートンでは、ウィルス名:HacktoolDoSを検出するらしい。 |
| [2005/12/29] | 他の方の結果は以下の「」内。
「当環境ウイルスとして検出したのは DoS-iFrameNet です。コレはTELNETウインドウ大量に開くトロイの木馬で、HTML文書内のVBScriptですね。」 |
| [2006/01/09] | 「100個以上のTELNET等が開くブラクラ&ウィルス。」 |
| [2006/01/15] | 「Trojan.VBS.IFrame 検出のtelnetストームのブラクラです。」 |
| [2006/02/12] | 「KingsoftAntiVirus2006 では Risk,Exploit,wmf が検出されました。」 |
| [2008/11/28] | ウィルス名:TROJ_GENERIC.A |
| [2006/01/29] | スパイウェア配布サイト。こんな感じ のページで、このページ表示まで無害で、普通に閉じれる。
画面内で、「Yes, I agree」のチェックボックスにチェックを入れ、「HERE」( マウスカーソルの箇所のリンク )を踏むと以下のexeファイルをDLできるが、ウィルス名:ADW_SUPERBAR.A を検出。 //download.gigatechsoftware.com/GigatechWwwInstaller.exe |
| [2007/04/21] | 海外アダルトサイトだが、ウィルス名:EXPL_ANICMOO.GEN+EXPL_WMF.GEN を検出。 |
| [2007/01/09] | 2006/12/24 にトレンドマイクロ社にファイルを提出。
今日、その結果の連絡があり、ウィルス名:DIAL_DIALER.OT として検出するよう対応、とのこと。 実際に 2006/12/24 にDLしたファイルと、今日改めてDLしたファイルからウィルス名:DIAL_DIALER.OT を検出することを確認。 2006/12/24 から今日までのファイルの置き換えは無いと推測される。 |
| [2006/10/29] | 別窓1枚付きの海外アダルトサイトだが、「cyber.wmf」なるものをDLしろ、と言ってきてウィルス名:EXPL_WMF.GEN+TROJ_NASCENE.Y を検出。
閉じると違うアダルトサイトが2枚開く。 |
| [2005/05/31] | ウィルス名:OE_BUBE.A-O+JAVA_BYTEVER.A+JAVA_BYTEVER.K+JAVA_BYTEVER.A-1
海外アダルトサイトがブラクラ並に開く。ただし、2回目以降の確認では2〜3枚開く程度。ウィルスも未検出。 |
| [2005/06/27] | 以下は他の方の鑑定結果を編集して掲載。
「洋エロサイトがブラクラ並に開く。80〜90ほど開いた時点でVB反応あり。 ウイルス反応10程検出し、緊急ロックを掛けた。 ClamWinでウィルス名:Trojan.Downloader.JS.Linker.C 等も検出。」 |
| [2005/07/14] | 画像ではなく、サムネイルのページ。次々とアダルトサイトが開いていく。
その過程でバスターがウィルス名:JAVA_BYTEVER.A+JAVA_BYTEVER.C+TROJ_ANICMOO.G を検出。 ClamWinではウィルス名:Exploit.HTML.MHTRedir-11を検出。 |
| [2005/08/04] | ノートンが警告。ノートン2005の最新定義でシステム完全スキャンをするとAdware.Windupdates を検出して駆除。 |
| [2005/08/22] | 他の方の結果は以下。
「画像は存在せず有害鯖へ飛ばす仕掛けが施されてました。ポップアップをブロックしていれば問題ありません。 ブロックを解除して何度か踏んでみたところウイルスが検出され、さらにいくつもIEが開きブラクラ並みの挙動を見せていました。」 |
| [2005/09/03] | ポップアップをブロックしていれば特に問題はない。
だが、ブロックを解除するとcrashmeの如くIEが開き、ウィルスまである。 |
| [2005/09/09] | − 以下は鑑定結果を引用 −
「ポップアップブロックしてれば大丈夫ですが、別窓でどんどん違うサイトが開く洋アダルトサイト。それ自体が呼び出す窓は3つほどですが、それがまた別窓を引っ張ってくる。」 |
| [2005/09/21] | 他の方の結果では、
「海外のエロサイト。ActiveXのダウンロードを強要してきます。キャンセル出来なくなっていき、ブラウザが固まったため、ブラウザを落としました。」 |
| [2005/09/30] | 他の方の結果では、
「洋物アダルトサイトリンク集。ポップアップ多数、スクリプトエラー頻発。」 |
| [2005/10/27] | 再確認。踏むと下のURLに飛ぶが、バスター無反応。 //sexwish.e33.de/?zm_int.jpg |
| [2005/11/27] | 踏むと「Subdomain」という海外アダルトサイト。サムネイル画像が並んでいる。
何回か確認すると、確認するたびにページ構成が若干異なっている。バスター無反応。 |
| [2006/01/08] | 他の方の結果は以下の「」内。
「ランダムで背景が違う洋エロサイトに逝きます。リンク先クリックでポップ2つあり。制限クッキー引っかかるようです。漏れの環境ではそこまでウイルス反応なしですが、危険URLのようです。環境によっては危険な可能性ありなので踏まないほうがいいでしょう。」 |
| [2007/04/02] | 海外アダルトサイト。バスター2007が危険なwebサイトとして警告する。 |
| [2008/12/06] | 2重拡張子。ウィルス名:TROJ_AGENT.AHEF |
| [2008/08/23] | 2重拡張子。ウィルス名:TSC_GENCLEAN+TROJ_AGENT.AFSC |
| [2010/02/13] | こんな感じ のサイト。スパイウェア配布サイトである。
このページ表示まで無害。 このサイトは私が [2005/11/13] に確認しているので、それから今日まで生き残っていることになる。 このページには以下のことが書かれている。 --------------------------------------------------------- 「PCとインターネット活動のあらゆる詳細をモニターして、記録するのにホーム、学校またはオフィスで使用できる強力なコンピュータ監視。 プログラムはプログラムが使用したすべて、タイプされたキーストローク、見られたウェブサイト、および映画の撮影きこりを記録する急速な映画の撮影を取ることができるのと同時に一緒に働いているいくつかの統合ツールを含んでいます。」 |
| [2005/11/13] | ウィルス名:SPYW_ETHSCOUT.11 |
| [2010/02/13] | 再確認。ファイルサイズ:1.18 MB 。ウィルス名:SPYW_ETHSCOUT.11
この exe ファイルは以下の活動をするらしい。 --------------------------------------------------------- どんなサイトを閲覧したか? 誰がPCにアクセスしているか? ネットへの接続ポート番号は何番か? |
| [2005/04/26] | ウィルス名:TROJ_226.A |
| [2005/04/26] | ウィルス名:TROJ_ADPOWER.B |
| [2005/04/26] | ウィルス名:DIAL_ADPOWER.A |
| [2005/04/26] | ウィルス名:TROJ_ADPOWER.G |
| [2004/07/13] | ブラクラのようなもの。Windowが次々に開く「倍々ゲーム」。一個開いたら次は二つ、二つが四つ・・ |
| [2004/02/19] | ウィンドウが20個開くブラクラ。 |
| [2005/08/28] | FDDアタック。A ドライブにアクセスされる。 |
| [2004/12/25] | mailtoストーム。Alt+F4連打で簡単に閉じれる。 |
| [2004/02/22] | 「ワシントン」と答えるまで無限にメッセージが表示される。 |
| [2004/06/20] | クイズのダイアログの出るブラクラ(終了できない)。 |
| [2004/06/23] | ユーザープロンプト式のウィンドウで「アメリカ合衆国の首都は?(全角カタカナまたは半角英語で)」というクイズが出る。
ワシントンと答えてもまたウィンドウが出てくるがAlt+Ctrl+Delで回避。 |
| [2006/03/24] | 他の方の結果では「ポプアプブロックが起動しました。恐らくブラクラ。」 |
| [2008/09/02] | 直踏みで「setup.exe」なるファイルが落ちてくるが、ウィルス名:TSC_GENCLEAN+PAK_Generic.001 を検出。 |
| [2005/06/04] | 踏むと海外アダルトサイト。ウィルス名:JAVA_BYTEVER.A
IFRAMEタグで//69.50.190.131/?to=encrypter&from=go4を呼び出している。こちらのURL解説も参照。 |
| [2005/06/10] | 他の方の鑑定では、( 編集して記載 )
「私の環境では、1回目はウイルス未検出で、2回目でノートンが、ウィルス名:Bloodhound.Exploit.6+Trojan.ByteVerify+Trojan.Admincash.Bを検出。」 |
| [2005/12/29] | スパイウェア配布サイトと思われる。検索サイト:Google のアドレスに酷似しているので注意。
スパイウェアを駆除出来るというサイトだが、偽装サイトである。 踏むと こんな感じ のサイトで、何かをインストールするよう催促してくる。 このページでは、下の @ のexeファイルをDL出来るが、UNA で Backdoor.Agent を検出。 @、//www.spybouncer.com/gsetup.exe また、この //www.goggle.com/ には別窓がいくつかある。それらは以下。
|
| [2006/07/30] | 他の方の結果では、「偽装セキュリティ ツール SpybouncerのDLサイト。」 |
| [2005/08/09] | 踏むと//www.gogle.cc/index/に飛び、ウィルス名:JS_EXCEPTION.Lを検出。ノートンでもウィルスを検出するらしい。
//www.gogle.cc/index/は こんな感じ のサイトで、 これ も表示。 別窓が付いている。別窓のURLは//www.euromillionspro.com/index2/で、こんな感じ 。 |
| [2005/08/11] | 他の方の鑑定でもウィルス名:JS_EXCEPTION.Lを検出するらしい。 |
| [2006/01/24] | 他の方の結果では、
「グーグル風のサーチサイトが開き、エラーアラート発生。ポップあり。 Kaspersky反応あり。Trojan.JS.Seeker-based 検出。」 |
| [2006/08/20] | こんな感じ のページだが、ウィルス名:JS_EXCEPTION.L を検出。別窓は これ 。ともに普通に閉じれる。 |
| [2006/08/20] | 踏むと //www.gogle.cc/400.shtml に飛ぶので、そちらのURL List解説を参照。
他の方の結果は以下。 「悲鳴のような音声が流れた後、アダルトサイトへ飛ばされます。トロイの木馬を検出。」 |
| [2007/03/21] | ウィルス名:VBS_PSYME.OB |
| [2006/04/18] | バスター無反応だが、スパイウェアの中でも悪質なキーロガーに属するものと思われるので注意。
他の方の結果では「Kaspersky反応あり。not-a-virus:Monitor.Win32.GoldenKeylogger 系統を多数検出。」 |
| [2006/06/17] | 再確認。DL+解凍すると「GoldenKeylogger-setup.exe」が現れる。
バスター無反応だが、以下のアンチウィルスソフトで反応。キーロガーに属するものと思われる。 BitDefender → Spyware.Goldenkeylogger.A CAT-QuickHeal → Monitor.GoldenKeylogger.130 Fortinet → Keylog/GoldenKey Kaspersky → not-a-virus:Monitor.Win32.GoldenKeylogger.130 McAfee → potentially unwanted program KeyLog-GoldenKey |
| [2006/08/03] | DL+解凍すると「GoldenKeylogger-setup.exe」「file_id.diz」という2つのファイルが現れる。
2006/07/30 にこのファイルをzipファイルごとトレンドマイクロ社に提出。 今日、その結果の連絡があり、それは以下。 「GoldenKeylogger-setup.exe」 → ウィルス名:SPYW_GOLDENKEY.A 「file_id.diz」 → 上記でキーロガーと判断されたファイルの説明が記述されているファイル(正常と判断されたファイル) 当該URLからファイルをDLしてウィルス名:SPYW_GOLDENKEY.A を検出することを確認。 |
| [2009/04/13] | 真っ白なページだが、ウィルス名:VBS_PSYME.CTE+HTML_WEBKIT.AI を検出。 |
| [2009/07/29] | 再確認。真っ白なページだが、ウィルス名:HTML_WEBKIT.AO+JS_DLOADER.BD+VBS_PSYME.DLU を検出。 |
| [2009/05/06] | ファイルサイズ:161 KB 。ウィルス名:TROJ_INJECT.SN |
| [2007/05/27] | ウィルス名:TSPY_LINEAGE.ELV |
| [2005/08/25] | 中国語のアダルトサイトで こんな感じ のサイト。
バスター無反応だが、以下のアンチウィルスソフトで反応。 ウィルス名:Boodhound Exploit6 [ ノートン ] ウィルス名:HTML.MHTRedir.2n [ ClamWin ] ウィルス反応後、窓が勝手に閉じる現象があるらしいが、私のバスター環境では確認出来なかった。 |
| [2005/04/28] | 踏むと こんな感じ のサイト。検索サイト「 google 」のURLと酷似。
ウィルス名:JS_PSYME.AFを検出。アンチドートだとウィルス名:Exploit.HTML.Mhtを検出するらしい。 タスクバーにしか存在しない別窓1枚あり。 この別窓は下のURL。そのうち、「サーバーが見つかりません」となる。 //toolbarpartner.com/adverts/Zergio/page1.html 元のURL://www.googkle.com/で、IFRAMEタグを使って呼び出すURLは以下。いずれも縦0ドット、横0ドットの大きさで呼び出している。 1、//www.ntsearch.com/popengine/popup3.htm ← 真っ白なページ。ソースも真っ白。無害。 2、//toolbarpartner.com/in.php?wm=Zergio ← このURLがウィルス名:JS_PSYME.AFを運んできている。詳細はこのURL解説も参照。 また、定期的に以下のURLを呼び込んでいる。 //toolbarpartner.com/adverts/Zergio/indexchm.html −以下はヤフーニュース等より引用− ヤフーのソースは こちら。ITmediaニュースのソースは こちら。 『 Googleのスペルミス悪用サイト、アクセスするとPC乗っ取り 』 「google.com」と入力するつもりで「googkle.com」としてしまうと複数のマルウェアが自動的にダウンロードされ、PCが乗っ取られる GoogleのURL入力ミスに突け込んで、「Googkle.com」というサイトで不正コードがばら撒かれているという。 セキュリティ企業のF-Secureがこのほど 詳しい情報 を公開した。 GoogleのURLをキーボードで入力する際、「l」の隣にある「k」のキーに指が触れて「Googkle」になってしまうのはよくあること。 問題のサイトはこれに突け込んだもので、ユーザーがGoogleのつもりでアクセスすると、トロイの木馬やバックドアプログラムなど多数のマルウェアが自動的にダウンロードされ、コンピュータが乗っ取られてしまうという。 F-Secureの調べで、Googkleサイトはロシア人の名前で登録されていることが判明、ここからダウンロードされる不正ファイルにロシア語のテキストが含まれていることも分かった。 ブラウザを使ってこのサイトにアクセスすると、2種類のポップアップが表示され、各サイトのページに悪質なファイルが多数仕組まれている。結果的に、バックドアプログラム2つ、ドロッパー2つとプロキシ型トロイの木馬、銀行情報を盗むスパイ型トロイの木馬、ダウンローダーで構成される、“マルウェアパッケージ”がダウンロードされてしまうという。 F-Secureでは決してGoogkleのサイトには行かないよう、ユーザーに注意を呼び掛けている。 |
| [2005/04/29] | 海外サーチ系サイトだが、ウイルス名:MHTMLRedir.Exploitを検出。
その後、JAVAアプレットを読み込むと同時に、//daosearch.comに飛ぼうとする。 CoolWebSearch系サイトなので、環境によっては2次感染の恐れもある。 |
| [2005/04/29] | 今(20時15分頃)、404になっているのを確認。 |
| [2005/04/28] | ウィルス名:JS_PSYME.AFを検出。//404.msmn.com/に飛ぶ。//www.googkle.com/と同じ現象を確認。 |
| [2006/04/22] | Location ヘッダで以下のURLに飛ぶので、そちらのURL List解説を参照。
//www.doubleh.fr/audio/index.htm |
| [2006/04/22] | 他の方の結果は以下の「」内。
「踏んでみた。VBにて、JAVA_BYTEVER.A 、JAVA_BYTEVER.C 、JAVA_BYTEVER.S 、JAVA_BYTEVER.AQ JAVA_BYTEVER.AB 、TROJ_NASCENE.Y 、TROJ_NASCENE.D 、EXPL_WMF.GEN SGアンチスパイで、Exploit.HTML.ObjData(HackingTool) Trojan-Downloader.Win32.Agent.acd(Trojan) Exploit.JS.CVE-2005-1790.j(HackingTool) Trojan-Downloader.Win32.Ani.c(Trojan) 」 |
| [2006/04/22] | 「ウィンドウズの脆弱性を突いてくるやつでした。アップデートしてない人は踏まないように。」 |
| [2006/04/22] | 「MS06-001 WMF Exploit×3 、JS:OpenConnection-I 、JS:Classloader-6
Googleの I'm Feeling Lucky 機能を悪用してウィルスを含むサイトに飛ばす(仕掛け)。」 |
| [2004/03/07] | mailtoストーム。btnIというのは検索結果に対してI'm feeling luckyというボタンを押した状態のこと。
基本的には検索結果のトップのページに飛ぶ。 |
| [2004/03/23] | 以前はmailtoストームが設置されていたらしいが今は読み込む前にリロードされて、過去にアクセスされたIPが記録されているのみ。 |
| [2004/07/11] | googleでI'm feeling luckyというバーを押すと検索結果のトップページに飛ぶ。
多分hikiko_moriというキーワードでそのボタンを押したと思われ。 前はブラクラのサイトに飛んだと思うが今は「電通東日本」という所に飛ぶ。 |
| [2004/02/22] | ブラクラ。telnetで //www.warez.com に接続し続ける。 |
| [2008/11/10] | ウィルス名:TROJ_RUNNER.AR |
| [2008/08/26] | 2重拡張子。ウィルス名:TSC_GENCLEAN+TROJ_AGENT.AFSC |
| [2008/08/26] | 2重拡張子。ウィルス名:TSC_GENCLEAN+TROJ_FAKEALER.HF |
| [2008/10/12] | 右クリック不可の真っ白なページだが、ウィルス名:EXPL_ANICMOO.GEN+EXPL_EXECOD.A を検出。
ソースを表示させても真っ白であるが、以下の3つのURLをIFRAMEタグで呼び出している。 //www.dimorphothec.com/ma/ani.c //www.dimorphothec.com/ma/Ms06014.htm //www.dimorphothec.com/ma/Yahoo.htm |
| [2004/08/16] | ウィルス名:JAVA_BYTEVER.A-1 |
| [2005/09/20] | 以下のURLに飛ぶので、そちらのURL解説を参照。
//www.errorsafe.com/pages/scanner/index.php?aid=rwfxn8&lid=pp&ax=1&ex=1 |
| [2008/09/06] | ウィルス名:TSC_GENCLEAN+HTML_LYMPIO.A |
| [2008/09/06] | ウィルス名:TSC_GENCLEAN+TROJ_ZLOB.GBA |
| [2006/09/01] | 2006/08/26 にトレンドマイクロ社にDL+解凍して現れた「ruboskizo.dll」ファイルを提出。
2006/08/31 にその結果の連絡があり、ウィルス名:DIAL_DIALER.MR として検出するよう対応、とのこと。 2006/08/26 にDLしたファイルからウィルス名:DIAL_DIALER.MR を検出することを確認。 また、今日改めて当該URLからDLしてみてもウィルス名:DIAL_DIALER.MR を検出することを確認。 |
| [2008/08/20] | こんな感じ のサイトだが、ウィルス名:TSC_GENCLEAN+HTML_BADSRC.C を検出。
画面上でクリックすると、これ を表示する。 |
| [2008/09/08] | 再確認。こんな感じ のサイトだが、ウィルス名:TSC_GENCLEAN+HTML_BADSRC.C を検出。
画面上で右クリックをすると これ を表示する。 ウィルス名:TSC_GENCLEAN+HTML_BADSRC.C が検出されたページは「〜products.htm」だが、この「〜products.htm」が当該URLから どのように呼び出されているか調べてみたが、不明であった。 以下は //www.gpcmoto.com/ についての2chでの情報。 「このWebサイト(www.gpcmoto.com)は攻撃サイトであると報告されています。 攻撃サイトはあなたの個人情報を盗んだり、コンピュータを乗っ取って他のコンピュータへの攻撃に利用したり、あなたのシステムを破壊するためのプログラムをインストールしようとします。 一部の攻撃サイトでは意図的に有害なソフトウェアを配布していますが、多くのサイトでは運営者が知らずにまたは許可なく有害なソフトウェアの配布に不正利用されています。」 |
| [2008/09/08] | 他の方の結果は以下の「」内。
「有害実行ファイルが落される有害サイトのようです。ソースチェッカーで危険URLアドレスに認定されています。」 |
| [2008/12/05] | バスター無反応だが、以下のウィルス駆除ソフトで反応。
Ikarus → MonitoringTool.Win32.SystemSurveillance Microsoft → MonitoringTool:Win32/SystemSurveillance Panda → Generic Malware Symantec → Spyware.Systemsurv |
| [2007/05/27] | ウィルス名:TSPY_LINEAGE.ELH |
| [2005/08/23] | //coolteenpussy.com/?grannymax.comに飛び、ウィルス名:HTML_REDIR.AI+JAVA_BYTEVER.Aを検出。
また、NAV2005でもウィルス検出:Bloodhound.Exploit.6(2件)らしい。 また、ActiveXのインストールを要求してくるらしいが、確認出来なかった。 |
| [2005/06/23] | ウィルス名:JAVA_BYTEVER.A。
//coolteenpussy.com/?grannymax.comに飛ぶ。このURL解説も参照。 |
| [2005/08/16] | 踏むと真っ白なページ。少しするとブラクラ並に開いていく。
それらを閉じていくと、閉じても閉じても復活するウィンドウが残る。このウィンドウはタスクバーのみ常駐する。 このURLに関連するURLは以下。 //www.grannymax.com/cons1.htm //www.grannymax.com/exit1.htm |
| [2005/08/16] | 踏むと真っ白なページ。少しするとブラクラ並に開いていく。
それらを閉じていくと、閉じても閉じても復活するウィンドウが残る。このウィンドウはタスクバーのみ常駐する。 このURLに関連するURLは以下。 //www.grannymax.com/cons2.htm //www.grannymax.com/exit2.htm |
| [2005/08/16] | 踏むと真っ白なページ。少しするとブラクラ並に開いていく。
それらを閉じていくと、閉じても閉じても復活するウィンドウが残る。このウィンドウはタスクバーのみ常駐する。 このURLに関連するURLは以下。 //www.grannymax.com/cons3.htm //www.grannymax.com/exit3.htm |
| [2005/08/16] | 踏むと真っ白なページ。少しするとブラクラ並に開いていく。
それらを閉じていくと、閉じても閉じても復活するウィンドウが残る。このウィンドウはタスクバーのみ常駐する。 このURLに関連するURLは以下。 //www.grannymax.com/cons3.htm ← このURLと同じ。 //www.grannymax.com/exit5.htm |
| [2005/06/23] | こんな小窓 を表示。
その後、ブラクラ並に別サイトが開いていき、ウィルスを複数回検出。 検出したウィルス名:JAVA_BYTEVER.A+TROJ_ANICMOO.F+JAVA_BYTEVER.A-1 タスクバーにしか存在しないウィンドウが3つ常駐し、何度消してもすぐに復活する。 その3つのウィンドウが色々なサイトを呼び出す模様。 呼び出すサイトはウィルス憑きサイトや全画面表示サイトもある。 上記で最初の 小窓 では、scriptで1のURLを呼び出す。 1、//www.spykiller.com/index.asp?Ref=2481 また、window.openで2を呼び出し、IFRAMEタグで3、4、5を呼び出す。 2、//www.grannymax.com/cgi-bin/tm3/l?i=333&c=colfeed 3、//213.200.210.10/dl/get.php?id=732 4、//66.117.37.5/connect.cgi?id=263 5、//www.hardclito.com/dia1.htm |
| [2005/08/16] | 踏むとブラクラ並に色々なアダルトサイトが開いていく。順次、閉じていくと、閉じても閉じても復活するウィンドウが2つ残る。この2つのウィンドウはタスクバーのみ常駐する。
2つ残るのは以下の2つのスクリプトを実行されるためだと思われる。
|
| [2005/08/16] | ランダムで色々なアダルトサイトに飛ばされる。何回か確認したが、全ての確認でウィルス反応あり。
1回目、ウィルス名:JAVA_BYTEVER.A+JAVA_BYTEVER.K+JAVA_BYTEVER.A-1 2回目、ウィルス名:TROJ_DLOADER.XH+JAVA_BYTEVER.A 3回目、ウィルス名:JS_PSYME.AF+TROJ_DLOADER.NB+JAVA_BYTEVER.A+JAVA_BYTEVER.K 以降、上記のウィルスのどれかを必ず検出。 |
| [2005/04/10] | 踏むとエロサイトで、ウィルス名:JAVA_BYTEVER.Aを検出。
閉じるとタスクバーにしか存在しない名無しのウィンドウがあり、何度強制終了しても復活してページの強制終了が出来ない。 そのうち、タスクバーにしか存在しないウィンドウが今度はかなりの数常駐するようになり、これらも強制終了が出来ないページのよう。全画面表示は確認できなかった。 これらのウィンドウは他のURLを表示していると思われるが、それを確認している余裕は無かった。強制終了操作を繰り返し行い、何度目かの強制終了で脱出。 |
| [2005/05/31] | ウィルス名:HTML_MHTREDIR.BN。ただし、ウィルス未検出の場合もあり。Antidoteでも4つほど反応あり。
踏むと別窓が20枚以上開き、場合によりリソース不足に陥る。 |
| [2005/06/03] | 改めて確認。ウィルス名:HTML_MHTREDIR.BN。ただし、ウィルス未検出の場合もあり。Antidoteでも4つほど反応あり。
ノートンだとウィルス名:Bloodhound.Exploit.6+Bloodhound.Exploit.20を検出。 踏むと別窓が20枚以上開き、場合によりリソース不足に陥る。順次窓を閉じていくとタスクバーにのみ常駐するウィンドウが残り、そのウィンドウは何度閉じても復活する。 このURLは別窓で 1.と 2.を開く。そしてその開いた 1.と 2.がブラクラ並に色々な海外アダルトサイトを別窓表示する。 つまり、ブラクラ並に開くプロセスが2つ走るような感じ。
|
| [2005/06/20] | 他の方の鑑定結果では、
ウィルス名:HTML_MHTREDIR.BN。海外アダルトサイトなどが次々と開く。 緊急ロックを掛け、50開いた時点でグループで閉じた。 アンチドートでもウィルスを3つ検出、ClamWinで7つ検出。 |
| [2005/07/24] | 環境により、ウィルス名:JAVA_BYTEVER.A+JS_MHTREDIR.Pを検出する場合もある。 |
| [2005/07/26] | 以下は2chでのレス。
|
| [2005/08/03] | 以下は2chでのレス(編集記載)
「ウィルス名:bloodhound.exploit.6+bloodhound.exploit.21+Trojan.ByteVerify+Download.trojan+Downloader.trojan+MHTMLRedir.Exploit。さらにブラクラ付き。」 「感染時のログ(ノートン)見たら上記のうち、ウィルス名:bloodhound.exploit.6とDownloader.trojanにしか反応してない。 MHTMLRedir.ExploitはIEじゃなきゃ意味のないトロイだから発動しなかったけど、bloodhound.exploit.21、Download.trojan、Trojan.ByteVerifyに反応しなかったのが気になる。ノートンの最新定義だと対応してるはずなのに。」 |
| [2005/08/04] | 他の踏まれた方の症状は以下。
|
| [2005/08/04] | このサイトには、ウィルスをダウンロードするウィルス(Downloader.Trojan)と、そのウィルスによってダウンロードされるウイルスが仕込まれている。
これはIEの脆弱性を利用したもので、閲覧しただけで感染する(exeファイルのクリックをせずに)。 Downloader.Trojanの説明 :Downloader.Trojan は、リモートのインターネットサイトから、別の有害なプログラムをダウンロードして、それをローカルのシステム上で実行するプログラム。 → シマンテック社の参考ページ これが実行されるから、変な場所のサイトが開いて、他のウイルスがどんどん仕込まれる。 |
| [2005/08/04] | ノートンでウィルス名:Bloodhound.Exploit.6+Downloader.Trojanを検出。 |
| [2005/08/05] | −− 以下は//www.grannymax.com/index1.shtmlを踏まれた方のレスを記載 −−
このサイトを踏んでしまって、スパイウェアを大量に飼ってしまったのです。 それで、Windows updateして、SPYPodとAd-AwareとSpy DoctorをDLしてできる限りの事をやって、やっとあと5個ぐらいに減らせました。 で、セーフモードで起動してもう1度スキャンしようとしてもセーフモードで起動出来ません。ちなみにOSは2000です。 これは置いておいて、本題です。もし知っていれば、上も教えてください。 ソフトで駆除してもやはり勝手にIEが起動して、変なサイトへ飛ばされます。 跳んでからたくさんウインドウが開いてタスクマネージャで手動で終わらせてます。 Spy Doctorが変なサイトへ跳ぶのをある程度防いでくれるのですが、たまに負けます(?) それで、その時に このような忠告ウインドウ が出ます。 辞書で約しながら何となくですがヤバそうなので書きました。 他の症状は
|
| [2005/08/06] | 他の方の鑑定結果は以下。
窓を閉じた時にバラバラと他のウィンドウが開いたのならウィルス憑きサイトを開いてしまっている可能性がある。 当環境で確認できた物は以下の二つ。(ウイルスバスター2005検知) ウィルス名:JAVA_BYTEVER.A+JS_DOWNLOAD.D アドウェアの強制インストールのようだが、最新のパッチを当てていれば問題ない。 気になるのならオンラインスキャンをかけてみてください。↓ http://www.securityzone-za.bne.jp/virusscan.htm ただし、検出のみで駆除、削除は製品版アンチウィルスソフトが必要。 |
| [2005/09/04] | −−以下は2chでのレスを記載−−
「IE6.0に最新パッチがあたっていて、セキュリティが高、ワクチンソフトが入っていれば心配いりません。 こういう知らない地方に行くとき「セキュリティ高、プライバシー高」設定とか、IE以外のブラウザ使ってJAVAオフとか色々あります。」 |
| [2005/09/04] | 再確認。踏むと海外アダルトサイト1枚のみ表示。バスター無反応。閉じると全画面表示。ソースは変更されている。 |
| [2005/10/10] | どうやら不定期的にページ更新しているらしいので改めて確認。
踏むと別窓1枚付きの海外アダルトサイト。その別窓は これ 。 海外アダルトサイトのほうを閉じると別の海外アダルトサイトを全画面表示して、「ttt4.js」という名のJScript スクリプトファイルをDLするようダイアログを表示する。 このファイルにはバスター無反応、直接開くと このエラー を表示。MS-DOSで開いても私の環境では何も無かった。しかし、このJScript スクリプトファイルはPC環境により有害かもしれない。 全画面表示された海外アダルトサイトはAlt+F4で普通に閉じれる。 問題だと思われるのは、最初に表示された この別窓 のほうで、スクリーンセーバーを選んでDLしろ、という別窓。 このスクリーンセーバーのファイルの中にスパイウェアの一種:アドウェアが仕組まれている。 別窓の中に6つのスクリーンセーバーがあるが、適当に選んでクリックしてみると、まず、このウィンドウ を表示。 もう1つ、タスクバーのみに存在する「???????????????????」なるウィンドウも出現。 さっきの、このウィンドウ を表示すると、ダイアログを表示し、「GAIN Publishing」なるファイルをDLするよう促される。 その途端にバスターがウィルス名:ADW_GAIN.Dを検出。後で別窓の6つのスクリーンセーバーを全部踏んでみると、6つともウィルス名:ADW_GAIN.Dを検出。 この6つのスクリーンセーバーは、それぞれ別の6つのファイルとなっている。それが呼び出されるのが、タスクバーのみに存在する「???????????????????」なるウィンドウである。 この「???????????????????」なるウィンドウは最大化できる。最大化するとツールバーやアドレスバーが無いウィンドウで真っ白なページだが、ページ画面のやや中央上よりに [Please Wait ...] とだけ書かれたページであることが分かる。 さっきの、6つのスクリーンセーバーのリンク先は それぞれ別の6つの「???????????????????」なるウィンドウに繋がっている。 それぞれ6つの「???????????????????」なるウィンドウを全部調べた結果、以下のそれぞれ6つのcabファイルと繋がっていることが判明。6つのファイルともウィルス名:ADW_GAIN.Dを検出する。 //dist.belnk.com/4/download/hdplugin_1101_bundle82v1d52.cab //dist.belnk.com/4/download/hdplugin_1101_bundle103v1d52.cab //dist.belnk.com/4/download/hdplugin_1101_bundle106v1d52.cab //dist.belnk.com/4/download/hdplugin_1101_bundle107v1d52.cab //dist.belnk.com/4/download/hdplugin_1101_bundle123v1d52.cab //dist.belnk.com/4/download/hdplugin_1101_bundle124v1d52.cab |
| [2005/10/30] | 再確認。更新されている。海外アダルトサイトだが、ページ内にエラーがある模様。HDDが唸り出し、そのうち落ち着く。
IFRAMEタグで//www.pornnimbus.com/count.htmlを呼び出しているが、その先にスパイウェアがある。 閉じるとブラクラ並に別のアダルトサイト表示や全画面表示をする現象を確認。その過程でウィルス名:HTML_MHTREDIR.CGを検出。 |
| [2005/08/16] | 「BOOB MOMIES」というタイトルの海外アダルトサイトのページ。
ウィルス名:HTML_MHTREDIR.CG+JS_DOWNLOAD.D 踏むとブラクラ並に色々なアダルトサイトが開いていき、ウィルスを検出。非力なPCではフリーズすると思われる。私のPCでは急ぎAlt+F4押しっぱなしで何とか脱出。 このURLには多くの危険URLが関連している。それは以下。
|
| [2005/12/29] | 再確認。踏むと海外アダルトサイト。バスター無反応で普通に閉じれる。 |
| [2005/06/03] | 踏むとブラクラ並に海外アダルトサイトが開く。詳細を確認する余裕は無く、ウィルスを続けて検出。
ウィルス名:TROJ_ANICMOO.F+JAVA_BYTEVER.K+JAVA_BYTEVER.A-1+HTML_MHTREDIR.BN ソースを見ると別窓で 1.を開き、IFRAMEタグを使って 2.〜 6.を呼び出し、JavaScriptで 7.を呼び出す。
|
| [2005/08/16] | ウィルス名:HTML_MHTREDIR.CG。ソースを取得しようとしてもウィルスを検出する。
ソースチェッカーを使い、ソースを見ると、ソースの中に以下のURLがある。 //perou-voyage.com/free/ifect1.anr ← ウィルス名:TROJ_ANICMOO.P |
| [2005/06/03] | ウィルス名:JAVA_BYTEVER.A-1。ソース内にコード変換されている部分がある。その中に下のURLが隠れている。
//82.179.170.11/dap035/ |
| [2008/08/26] | 2重拡張子。ウィルス名:TSC_GENCLEAN+TROJ_FAKEALER.HF |
| [2005/09/15] | ウィルス名:BKDR_SUB7.22A |
| [2005/08/26] | 以下の 1. に飛び、ウィルス名:HTML_REDIR.AI+JAVA_BYTEVER.Aを検出。
少し放っておくと 2. を新窓表示、ウィルス名:HTML_REDIR.AI+JAVA_BYTEVER.Aを検出。2. は普通に閉じれる。 1. を閉じると 3. を新窓表示、ウィルス名:HTML_REDIR.AI+JAVA_BYTEVER.Aを検出。3. も普通に閉じれる。
|
| [2005/12/07] | 踏むと、これ が笑い声とともにウィンドウが複数増えたように見えるブラクラ。
「You are an idiot ! 」と同じようなブラクラだが、タスクバーより閉じればそれで終わり。 |
| [2005/12/07] | 他の方の結果は以下の「」内。
「笑い声とともに、窓が5つに増えたように見えながら、逃げ回るブラクラでした。 ClamWinで Joke.JS.FlyWin.A 検出。」 |
| [2006/01/05] | 踏むと こんな感じ のページだが、ウィルス名:TROJ_NASCENE.D を検出。
JavaScript と IFRAMEタグを使い、以下のWMFファイルを呼び出している。 //www.growasmile.com/digital.wmf |
| [2006/01/05] | ウィルス名:TROJ_NASCENE.D |
| [2008/08/30] | ウィルス名:TSC_GENCLEAN+TROJ_RENOS.AFT |
| [2005/04/26] | ウィルス名:TROJ_DIALER.C |
| [2005/02/18] | ウィルス入りexe。何かをインストールさせてこようとする。 |
| [2005/02/18] | バスター無反応だが他ウィルス駆除ソフトで反応。詳細は以下。
AntiVir → ウィルス名:TR/Exploit.MS04-028.JPEG.A Avast! → ウィルス名:MS04-028 JPEG Exploit BitDefender → ウィルス名:Exploit.Win32.MS04-028.Gen Dr.Web → ウィルス名:Exploit.MS04-028 Fortinet → ウィルス名:W32/JPG.Downloader Kaspersky Anti-Virus → ウィルス名:Exploit.Win32.MS04-028.a |
| [2006/08/11] | バスター無反応だが、他社製アンチウィルスソフトでウィルスを検出する。
2006/07/30 にトレンドマイクロ社に「exploit-test.exe」ファイルを提出。 今日、その結果の連絡があり、内容は以下。 「ファイル解析の結果、セキュリティーホールが存在するファイルとなります。 なお、ファイルの使用目的等が明記されていることにより、現状では検出対応いたしません。」 |
| [2005/02/18] | ウィルス名:TROJ_ELITWRP.104+HKTL_HIDEWIN.A+HKTL_HIDERUN.A+TROJ_GOBIND.B |
| [2005/12/03] | 以下は2chでのレスを記載。
「DL、保存まではノートン無反応だったが、実行すると「PWSteal.Trojan」というのを検出。その名のとおり、パスワードを盗むトロイの木馬。「hoyoo.exe」でググってみると、いろんな掲示板がヒットします。URLを削ってみると「中国国学院」という南京にある学校のHPへ行く。」 |
| [2006/01/23] | 他の方の結果では「Win32:Lineage-137 [Trj]というトロイの木馬を検出。」 |
| [2005/11/24] | ファイルサイズ:36.6KB。相手サーバーが非力なのか、たかが36.6KBのファイルを落とすのに時間がかかった。
DL後、ウィルス名:TSPY_LINEAGE.QRを検出。ノートンではウィルス名:PWSteal.Lineageを検出するらしい。 オンラインゲームのパスワードを抜き取るトロイの木馬らしい。 |
| [2005/12/19] | NOD32でウィルス名:Win32/PSW.Lineage.DN を検出。トロイの木馬の亜種である。 |
| [2006/01/29] | Kaspersky では Trojan-PSW.Win32.Lineage.un を検出するらしい。 |
| [2005/11/29] | 2chでの結果は以下の「」内。
「アンチドート反応あり Backdoor.Win32.BlackHole.b 。VB反応あり Possible_Virus 」 また、以下のアンチウィルスソフトで反応。 ArcaVir → Win32 AVG Antivirus → PSW.Lineage.EE BitDefender → BehavesLike:Win32.AV-Killer (probable variant) Dr.Web → Trojan.PWS.Lineage Kaspersky Anti-Virus → Backdoor.Win32.BlackHole.b NOD32 → a variant of Win32/PSW.Lineage |
| [2008/08/30] | 2重拡張子。ウィルス名:TSC_GENCLEAN+TROJ_DLOAD.DU |